Clés de chiffrement Whatsapp
Aujourd'hui, je me suis réveillé et j'ai vérifié mon Whatsapp et j'ai reçu le message que les communications sont désormais cryptées de bout en bout.
Cependant, comment savoir si Whatsapp est fiable?
I je n'ai pas généré mes clés privées/publiques, je ne peux pas non plus les changer. N'est-ce pas toujours une faille de sécurité?
Se pourrait-il que les clés privées aient été interceptées lors de leur envoi aux utilisateurs?
Se pourrait-il que Whatsapp ait gardé les clés privées, juste au cas où le FBI deviendrait vraiment fou de ne pas pouvoir accéder à un compte et demander la coopération?
"Je n'ai pas généré mes clés privées/publiques"
Vous ne l'avez pas fait, mais votre appareil l'a fait.
"je ne peux pas non plus les changer"
Je ne serais pas surpris s'ils ajoutent cette capacité à l'avenir (car il s'agirait simplement d'être autorisé à s'authentifier avec votre clé existante et à demander ensuite qu'elle soit remplacée: fournir uniquement une nouvelle clé publique à ce stade)
Se pourrait-il que les clés privées aient été interceptées lors de leur envoi aux utilisateurs? "
Les clés sont générées côté client, du moins disent-elles ...
"Se pourrait-il que Whatsapp ait gardé les clés privées, juste au cas où le FBI deviendrait vraiment fou de ne pas pouvoir accéder à un compte et demander la coopération?"
Nous verrons....
Leur papier donne une description décente de ce qui se passe et comprend un lien vers la bibliothèque de protocoles (open source) qu'ils utilisent.
Cependant, comme avec tout système, vous devez en fin de compte faire confiance à votre côté et non à celui du méchant (quel qu'il soit), car s'il contrôle le code et les mises à jour, il a toujours le pouvoir de publier modifications ciblant des utilisateurs spécifiques, etc. si nécessaire ... Cependant, tout comme le cas Apple vs FBI , ce n'est vraiment pas dans le meilleur intérêt des entreprises technologiques d'être vu céder à de telles exigences.
Il est vrai que vous n'avez pas généré les clés, WhatsApp l'a fait. Vous devez donc faire confiance à WhatsApp à ce sujet et ne conserver aucune copie de la clé privée. Tout au plus, vous pouvez vérifier que vous échangez des messages avec qui vous pensez être en comparant les `` empreintes digitales '' des clés (en faisant à nouveau confiance à WhatsApp à ce sujet car elles vous disent ces informations).
En bref, vous devez faire confiance à WhatsApp pour suivre le protocole de sécurité pour chaque étape comme décrit ici . Le code source de WhatsApp n'est pas disponible, par conséquent, si vous l'utilisez, vous devez savoir que vous faites confiance à WhatsApp pour tout ce que vous faites, que le canal de communication soit censé être chiffré de bout en bout ou non.